OWASP TOP10

什么是OWASP？

它的全称是 Open Web Application Security Project（开放式 Web 应用程序 安全 项目）

TOP 10

OWASP Top 10的意思就是10项最严重的Web 应用程序安全风险列表 ，它总结了Web应用程序最可能、最常见、最危险的十大漏洞，是开发、测试、服务、咨询人员应知应会的知识。

具体的十大漏洞，下载地址。

https://nchc.dl.sourceforge.net

里面的内容很多，我慢慢来做。

我先从DVWA这个做起来。

DVWA的内容也挺丰富的。暴力，命令注入，跨站，验证码绕过，文件包含，sql注入，盲注，文件上传漏洞，xss漏洞，存储型xss漏洞。

以上内容又分为三个等级，简单，中等，困难。

右下角可以查看源代码。白盒测试，对于新手很友好

1，暴力破解

OWASP TOP10-腾讯云开发者社区-腾讯云

2，命令注入

简单情况下，直接|或者&就可以绕过了。

看一下源码长什么样子。

因为是简单难度，所以呢，逻辑也很清晰。用户给一个ip然后直接放到CMD里面执行了。整体下来也没有什么防御措施，所以呢这个命令注入特别明显。

看一下中等难度。

这个中等难度逻辑和简单的一模一样，就是添加了关键词检测，还没完全检测到。这个可以用&或者|。直接绕过。

直接看高难度的。

这个就和前面两个完全不一样了，拿到用户的ip后先转义了，然后在把IP地址用.分开,分开成4个数组。

然后在检测4个数组是不是全都是数字，是的话在把他合并起来。然后在给到cmd。那这个基本上没有什么漏洞的地方了。